OVH Community, your new community space.

Ataques de denegación de servicio


NoFantasy
02/12/2010, 15:10
Cita Publicado inicialmente por azazelo
Fantasy, en efecto no me interesa el tema pero lo que estoy apuntando es que no me parece bien que se relacionen nombres y datos de personas fisicas y nombres de dominios con _supuestos ataques_ y que haya gente que eche más leña al fuego sin tener más datos.

Y todo esto anterior no tiene nada que ver con la eficiencia de la justicia o que OVH no haga nada al respecto, son temas diferentes. Algún dia igual entenderemos por qué te cierran el servidor por unas cosas y hacen caso omiso, o así parece, a los correos a abuse.

En cualquier caso, te deseo mucha suerte solucionando estos ataques y con la gestión administrativa que eso conlleva.

saludos,
azazelo, estoy tan seguro que de “supuestos” no tienen nada y de que estas 2 ips de ovh me atacaron que le voy a pedir reportes oficiales a mi empresa para que veas que de supuestos no tienen nada. De todas formas el cometido de este post es saber si en esos casos OVH hace algo realmente o no, y lo de los datos personales pondré los que a mí me parezca si no eres tu el ofendido este no es tu tema de lo contrario espero una nueva respuesta.

azazelo
02/12/2010, 09:10
Cita Publicado inicialmente por NoFantasy
azazelo hable con el administrador se acto de ello y es mas hace unos segundos e recibido otro ataque, y otro correo enviado a OVH, pero cuando OVH va a hacer algo? Esa es mi pregunta llevo tiempo soportando esta situación es este mi único recurso… Ya que la justicia es lenta por desgracia. Si no te interesa el tema no lo visites sin más.

Estas totalmente equivocado ya que he hablado con el administrador y acepto que fue el atacante con premeditación... si quieres te traigo los log de Skype y lo lees tu mismo ¬¬
Fantasy, en efecto no me interesa el tema pero lo que estoy apuntando es que no me parece bien que se relacionen nombres y datos de personas fisicas y nombres de dominios con _supuestos ataques_ y que haya gente que eche más leña al fuego sin tener más datos.

Y todo esto anterior no tiene nada que ver con la eficiencia de la justicia o que OVH no haga nada al respecto, son temas diferentes. Algún dia igual entenderemos por qué te cierran el servidor por unas cosas y hacen caso omiso, o así parece, a los correos a abuse.

En cualquier caso, te deseo mucha suerte solucionando estos ataques y con la gestión administrativa que eso conlleva.

saludos,

NoFantasy
01/12/2010, 23:46
azazelo hable con el administrador se acto de ello y es mas hace unos segundos e recibido otro ataque, y otro correo enviado a OVH, pero cuando OVH va a hacer algo? Esa es mi pregunta llevo tiempo soportando esta situación es este mi único recurso… Ya que la justicia es lenta por desgracia. Si no te interesa el tema no lo visites sin más.

Cita Publicado inicialmente por ivanmh
Estoy totalmente de acuerdo con azazelo
¿Quien puede ser tan inconsciente de realizar ataques desde su propio servidor? Nadie en su sano juicio; tiene toda la pinta de ese host (94.23....) está siendo utilizado por otra persona, que no es el dueño legítimo, para atacar el servidor de NoFantasy.
Estas totalmente equivocado ya que he hablado con el administrador y acepto que fue el atacante con premeditación... si quieres te traigo los log de Skype y lo lees tu mismo ¬¬

Cita Publicado inicialmente por Mazmardigan
¿Máquina Windows? No me digas más, posiblemente sea una máquina "zombie", creo que más que denunciar al propietario como atacante deberíais poneros en contacto con él y avisarle de que la seguridad de su servidor es una mierda y puede meterle en líos.
te digo lo mismo que a ivanmh…

nadeu
01/12/2010, 18:11
Cita Publicado inicialmente por tonysanchez
Buuuuuuuuuuuuuuu... sono la sirena del patio de la escuela, y los niños salieron a jugar al recreo. Unos jugaban al churro media manga manga entera, otros, con la play en la mano, alguno se escondia bajo los soportales mientras e lia un porro, y otros ....
Y otros se cren guays jodiendo a los demás.. que triste. Buena comparación Tony jajajajjajajajaj.

Saludos.

tonysanchez
01/12/2010, 16:41
Buuuuuuuuuuuuuuu... sono la sirena del patio de la escuela, y los niños salieron a jugar al recreo. Unos jugaban al churro media manga manga entera, otros, con la play en la mano, alguno se escondia bajo los soportales mientras e lia un porro, y otros ....

Mazmardigan
01/12/2010, 13:22
¿Máquina Windows? No me digas más, posiblemente sea una máquina "zombie", creo que más que denunciar al propietario como atacante deberíais poneros en contacto con él y avisarle de que la seguridad de su servidor es una mierda y puede meterle en líos.

ivanmh
01/12/2010, 13:21
Estoy totalmente de acuerdo con azazelo

¿Quien puede ser tan inconsciente de realizar ataques desde su propio servidor? Nadie en su sano juicio; tiene toda la pinta de ese host (94.23....) está siendo utilizado por otra persona, que no es el dueño legítimo, para atacar el servidor de NoFantasy.

PacoSS
01/12/2010, 09:22
Cita Publicado inicialmente por azazelo
@PacoSS

- a qué viene publicar los datos personales (aunque sean publicos y extraidos del whois) del titular de un servidor/dominio que te ha atacado
Copiar y pegar datos públicos, creo yo, que no es ninguna putada para nadie. Y eso, en el supuestísimo caso de que sean verdad. Que es mucho suponer.

Cita Publicado inicialmente por azazelo
y que muy probablemente haya sido previamente hackeado. Vamos a llenar el foro de los nombres de cada uno de los servidores hackeados?
Mis dotes de adivino no llegan tan lejos. Siempre pierdo en "pares o nones".

Cita Publicado inicialmente por azazelo
Alguien dice que la ip xx me ataca y todo el mundo la machaca???
¿Eeeeiiiinnnn? ¿De que estas hablando? ¿Quien ha dicho nada de atacar ni de haber machacado nunca ese server?

Cita Publicado inicialmente por azazelo
... es otra gente la que se debe de encargar de cerrar estos servidores si es necesario (OVH)
Mi ultimo ticket a soporte, con 40 páginas de una logs de varios dias, sobre un servidor de ovh, estará donde están los 5 o 6 anteriores, en el WC de OVH madrid, para limpiarse el culo. Ni respuesta siquiera, y no pararon los ataques, por supuesto.

Un saludo.

azazelo
01/12/2010, 08:50
a ver, esto se está yendo de las manos, en mi opinión:

@NoFantasy

- no creo que este sea el lugar de reportar todos los ataques que pueda tener tu servidor, ponte en contacto con el servicio técnico de OVH o el ISP de los atacantes, aporta pruebas y denuncia, aquí no vamos a solucionar nada.

- Si vas a dar nombres de webs creo yo que deberías dar datos del ataque, sólo aportas unos datos de paquetes hacia tu servidor de otra ip diferente a la de la pagina web que comentas.

@PacoSS

- a qué viene publicar los datos personales (aunque sean publicos y extraidos del whois) del titular de un servidor/dominio que te ha atacado ("supuestamente porque no hay datos") y que muy probablemente haya sido previamente hackeado. Vamos a llenar el foro de los nombres de cada uno de los servidores hackeados? Esto en mi opinión no ha estado bien.

@los_demas_que_hablais_de_ostias

- repito... hay alguna prueba? Alguien dice que la ip xx me ataca y todo el mundo la machaca???


A mi personalmente el hilo me importa muy poco, desde el principio creo que no es el lugar ni el modo, es otra gente la que se debe de encargar de cerrar estos servidores si es necesario (OVH) y el hilo se ha convertido en un linchamiento gratuito innecesario.

muy cordialmente.

joseavt
01/12/2010, 00:49
Si eso ya se sabe, una buena ostia a tiempo es mano de santo.

NoFantasy
30/11/2010, 23:43
Cita Publicado inicialmente por AlejandroCastro
LLamamle a Casa y Cagate a ostias XD
Ya he llamado xD me salto el contestador, teniendo en cuenta que el tal Homerixx cumplió 18 años este mismo año supongo que el titular que aparece será su padre ¬¬ no estaría de mas hablar con el ya que OVH no hará nada al menos que su padre le de unas ostias.

AlejandroCastro
30/11/2010, 08:51
LLamamle a Casa y Cagate a ostias XD

NoFantasy
30/11/2010, 06:16
Gracias PacoSS, la información que me facilitaste me servirá de mucho. =)

PacoSS
30/11/2010, 02:53
Cita Publicado inicialmente por NoFantasy
... esa informacion de cual de las dos IP, es? de 94.23.211.56 o 94.23.241.132?
De la última ip.

La 94.23.211.56 es el servidor web de wowcore.es

DATOS DEL TITULAR
Nombre del Dominio wowcore.es
Estado Activado
Identificador JME526-ESNIC-F4
Titular Javier Martinez Encinas
Email gmjavier5005@gmail.com
Teléfono +34 917664339
Fecha de Alta 01-11-2008
Fecha de Caducidad 01-11-2011
Agente Registrador STRATO

NoFantasy
30/11/2010, 00:08
En principio estos servidores al menos el de la ip 94.23.211.56, tiene alojado un emulador de mangos, ya que según los datos que pude obtener pertenece a http://wowcore.es , que trabajan con este tipo de proyectos: http://getmangos.com/
El propietario es conocido por esos foros como Homerixx administrador de http://wowcore.es , tengo algunos datos personales que he obtenido atreves de las denuncias y demás, de todos modos por lo que tengo entendido una la segunda ip o le pertenece a Homerixx tambien o al usuario de OVH Musicodc, ya que según el administrador del proyecto LatenciaZero, mantuvo una conversación vía skype el tal Homerixx el cual afirmo que Musicodc también tenía que ver en este tema.

Esta información puede que sea irrelevante pero desde luego considero que no puede una empresa como OVH, tener a este tipo de delincuentes. No hace mucho tuvimos otro ataque pero gracias a los nuevos sistemas de seguridad lo frenamos.
La IP 94.23.241.132, no tengo idea siquiera a quien pertenece.

Gracias de verdad a los que intentáis aportar algo en el tema, la pregunta es ¿Hace algo OVH en estos casos al respecto?, porque en principio según este tema, si: http://foros.ovh.es/showthread.php?t=7363
Pero yo ya he sufrido varios ataques y estas personas continúan online como si nada (Por ahora) y teniendo en cuenta lo rápido que es el sistema judicial español, por unos cuantos meses más.

NoFantasy
30/11/2010, 00:03
Cita Publicado inicialmente por PacoSS
No tiene webs alojadas.
Lo unico que le puedo sacar fácilmente, es que es un windows.

Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 HTTP/1.1 404 Not Found
Content-Length: 0
Server: Microsoft-IIS/7.5
Date: Mon, 29 Nov 2010 19:26:41 GMT
Connection: close
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut
Hola Pacoss, muchas gracias por tu ayuda, pero esa informacion de cual de las dos IP, es? de 94.23.211.56 o 94.23.241.132?

PacoSS
29/11/2010, 20:28
No tiene webs alojadas.
Lo unico que le puedo sacar fácilmente, es que es un windows.

Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 HTTP/1.1 404 Not Found
Content-Length: 0
Server: Microsoft-IIS/7.5
Date: Mon, 29 Nov 2010 19:26:41 GMT
Connection: close
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut

NoFantasy
29/11/2010, 18:35
Aqui otra de las ip's atacantes... de otro usuario de OVH
Sat, 23 Oct 2010
> Direction IN
> Internal 178.xx.xx.xxx
> Threshold Packets 30.000 packets/s
> Sum 10.942.000 packets/300s (36.473 packets/s), 2.466 flows/300s (8 flows/s), 0,572 GByte/300s (15 MBit/s)
> External 94.23.241.132, 10.942.000 packets/300s (36.473 packets/s), 2.466 flows/300s (8 flows/s), 0,572 GByte/300s (15 MBit/s)

Whois:
[Querying whois.arin.net]
[Redirected to whois.ripe.net:43]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '94.23.192.0 - 94.23.255.255'

inetnum: 94.23.192.0 - 94.23.255.255
netname: OVH
descr: OVH SAS
descr: Dedicated Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

role: OVH Technical Contact
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
nic-hdl: OTC2-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

person: Octave Klaba
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
phone: +33 9 74 53 13 23
nic-hdl: OK217-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

% Information related to '94.23.0.0/16AS16276'

route: 94.23.0.0/16
descr: OVH ISP
descr: Paris, France
origin: AS16276
mnt-by: OVH-MNT
source: RIPE # Filtered


Tracert:
http://img408.imageshack.us/img408/3709/dibujozqg.png

NoFantasy
29/11/2010, 16:38
La IP: 178.63.28.194 no pertenece a OVH, disculpas la confusion.
Post principal editado.

NoFantasy
29/11/2010, 16:36
[Querying whois.arin.net]
[Redirected to whois.ripe.net:43]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '94.23.192.0 - 94.23.255.255'

inetnum: 94.23.192.0 - 94.23.255.255
netname: OVH
descr: OVH SAS
descr: Dedicated Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

role: OVH Technical Contact
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
nic-hdl: OTC2-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

person: Octave Klaba
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
phone: +33 9 74 53 13 23
nic-hdl: OK217-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

% Information related to '94.23.0.0/16AS16276'

route: 94.23.0.0/16
descr: OVH ISP
descr: Paris, France
origin: AS16276
mnt-by: OVH-MNT
source: RIPE # Filtered

azazelo
29/11/2010, 12:08
Cita Publicado inicialmente por NoFantasy
Hola a todos,

Nota: Tengo que añadir que también sufrí un ataque por parte de la IP: 178.63.28.194 también alojada en OVH y el ataque fue simultaneo conjunto con el de la ip 94.23.211.56.
Esa ip NO es de OVH!!

194.28.63.178.in-addr.arpa domain name pointer static.194.28.63.178.clients.your-server.de.

AlejandroCastro
29/11/2010, 09:39
Pense al principio que seria su failOver.

[root@BlaCkPearL ~]# traceroute 178.63.28.194
traceroute to 178.63.28.194 (178.63.28.194), 30 hops max, 40 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * hos-bb1.juniper1.fs.hetzner.de (213.239.240.242) 13.734 ms 13.693 ms
6 hos-tr3.ex3k4.rz11.hetzner.de (213.239.228.69) 14.191 ms hos-tr2.ex3k4.rz11.hetzner.de (213.239.228.37) 14.208 ms hos-tr1.ex3k4.rz11.hetzner.de (213.239.228.5) 13.965 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
[root@BlaCkPearL ~]# ping CommandLineInterfaceWithPool.exec(): Expression not completly parsed "configure xdsl line 1/1/5/11 service-profile name:%DSLAM_PROFILE% spectrum-profile name:%XLNEPROFNM% admin-up transfer-mode atm"
[root@BlaCkPearL ~]#
[root@BlaCkPearL ~]#
[root@BlaCkPearL ~]# ping 178.63.28.194
PING 178.63.28.194 (178.63.28.194) 56(84) bytes of data.
^C
--- 178.63.28.194 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

[root@BlaCkPearL ~]#
[root@BlaCkPearL ~]# traceroute 94.23.211.56
traceroute to 94.23.211.56 (94.23.211.56), 30 hops max, 40 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
[root@BlaCkPearL ~]# ping 94.23.211.56
PING 94.23.211.56 (94.23.211.56) 56(84) bytes of data.
64 bytes from 94.23.211.56: icmp_seq=1 ttl=125 time=0.359 ms
64 bytes from 94.23.211.56: icmp_seq=2 ttl=125 time=0.317 ms
^C
--- 94.23.211.56 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.317/0.338/0.359/0.021 ms
[root@BlaCkPearL ~]#
Luego al ver que uno respondia y el otro no veo que correctamente no es su failOver o la cambio.

Igualmente me imagino que le daran un toque o lo cerraran ya que ami me ataco uno de OVH. Y en su dia le cerraron el server.

Saludos

NoFantasy
29/11/2010, 06:07
Hola a todos,
En primer lugar mis disculpas si este no es el lugar adecuado para este tema…

Soy excliente de ovh, actualmente tengo unas maquinas alojadas en otra empresa, el caso es que hace medio mes aproximadamente una de las maquinas sufrió una denegación de servicio por parte de una maquina alojada en ovh, de la cual tengo los datos e incluso conozco al propietario.

Por supuesto tengo información legal de este ataque por parte de mi empresa y he puesto una querella a este usuario de OVH, mi pregunta es si realmente sirve de algo el correo de abusos en OVH, porque el mismo día que me di cuenta de dicho ataque envié un correo con los datos arrojados por mi empresa en 2 idiomas distintos, donde se especifica la ip del atacante y demás información adicional… más concretamente el atacante es: 94.23.211.56, este “señor” atacante es propietario de una comunidad de juegos llamada WoWCore.

Agradecería algo de información al respecto, ya que no estamos hablando de un solo ataque, sino de varios y considero que este usuario tendría que ser sancionado de algún modo por la empresa o incluso quitarle el servicio.
SI necesitan más datos solo solicítenme lo que sea necesario, pero espero que este usuario no quede impune ante este acto.
Un saludo